Perché la maggior parte delle applicazioni Web utilizza token CSRF come metodo di prevenzione, invece di convalidare tramite l'intestazione di origine?

1

Perché il token csrf è stato scoperto al primo posto? Si può sempre controllare dalla richiesta generata dall'intestazione di origine

posta Ashwin 28.09.2018 - 10:54
fonte

2 risposte

2

" l'agente utente POSSONO usare il campo dell'intestazione Origin per informare il server del contesto di sicurezza in cui lo script era in esecuzione quando ha causato l'agente utente a inviare la richiesta "

Non è obbligatorio per un browser fornire l'intestazione. In assenza di un header Origin valido, quali supposizioni dovrebbero fare l'applicazione?

" L'intestazione della richiesta di origine indica da dove proviene un recupero. Non include qualsiasi informazione sul percorso, ma solo il nome del server "

Quindi:

  • Il tuo suggerimento fornirebbe solo protezione contro attacchi avviati da altri vhost, non da diverse applicazioni sullo stesso vhost

  • causerà il fallimento di richieste legittime se l'applicazione implementa sharding di dominio

  • richiede che l'applicazione conosca il dominio che viene servito da

Inoltre, il supporto dell'origine è patchy .

Dato che fornisce un meccanismo per il tracciamento / de-anonimizzazione degli utenti senza fare affidamento sulla persistenza lato client, è improbabile che sia sostenibile a lungo termine come mezzo per garantire l'integrità della sessione.

    
risposta data 28.09.2018 - 11:13
fonte
-1

Perché modificare le intestazioni è facile come estensione .

Regola 1. Non fidarti mai di nulla dall'intestazione.

    
risposta data 28.09.2018 - 11:07
fonte

Leggi altre domande sui tag